Хакеры используют ConnectWise для сокрытия вредоносного ПО с помощью Authenticode stuffing
изображение: recraft
Эксперты компании G Data зафиксировали новую волну злоупотреблений легитимным ПО удалённого доступа ConnectWise. Злоумышленники модифицируют инсталляторы программы, встраивая в них вредоносный код, при этом обходя проверку подлинности с помощью техники под названием Authenticode stuffing.
Как выяснили специалисты, вредоносная кампания, получившая название EvilConwi, использует нестандартную особенность ConnectWise — возможность добавлять конфигурационные данные в таблицу цифрового сертификата. Этот механизм позволяет избежать повторной подписи инсталлятора при персонализации. Этим и воспользовались хакеры, вставляя вредоносный код в ту же таблицу, что не нарушает цифровую подпись и позволяет пройти все проверки безопасности.
Модифицированные установщики выглядят как легальные программы, например, приложения на базе ИИ. Они скрывают присутствие ConnectWise на заражённой системе, отключают визуальные подсказки, подделывают окна обновлений Windows и отображают фальшивые сообщения, побуждая пользователя оставить устройство подключённым к сети.
С марта 2025 года G Data наблюдает рост подобных атак. Последние образцы вредоносного ПО не только маскируются под обычные программы, но и полностью скрывают процесс установки ConnectWise, позволяя киберпреступникам незаметно управлять заражённой системой.
Эксперты подчёркивают, что практика Authenticode stuffing не нова, но сочетание этой техники с особенностями ConnectWise представляет серьёзную угрозу. Возможность управлять внешним видом инсталляторов, использовать доверенную подпись и менять поведение интерфейса делает инструмент привлекательным для злоумышленников.
